VPN-Profile zum Herstellen einer Verbindung mit VPN-Servern in Intune erstellen

Wichtig

Am 22. Oktober 2022 beendete Microsoft Intune den Support für Geräte, auf denen Windows 8.1 ausgeführt wird. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.

Wenn Sie derzeit Windows 8.1 verwenden, empfiehlt es sich, zu Windows 10/11-Geräten zu wechseln. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.

Wichtig

Microsoft Intune endet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind geräteregistrierung, technischer Support, Fehlerbehebungen und Sicherheitskorrekturen nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, empfiehlt es sich, zu einer anderen Android-Verwaltungsoption in Intune zu wechseln, bevor der Support endet. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Über virtuelle private Netzwerke (VPNs) erhalten Benutzer sicheren Remotezugriff auf Ihr Organisationsnetzwerk. Geräte verwenden ein VPN-Verbindungsprofil, um eine Verbindung mit dem VPN-Server herzustellen. VPN-Profile in Microsoft Intune weisen VPN-Einstellungen zu Benutzern und Geräten in Ihrer Organisation zu. Verwenden Sie diese Einstellungen, damit Benutzer problemlos und sicher eine Verbindung mit Ihrem Organisationsnetzwerk herstellen können.

Diese Funktion gilt für:

  • Android-Geräteadministrator

  • Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil

  • iOS/iPadOS

  • macOS

  • Windows 10

  • Windows 11

    Wichtig

    Bei Windows 11-Geräten liegt ein Problem zwischen dem Windows 11-Client und dem Windows VPNv2-CSP vor. Ein Gerät mit mindestens einem Intune-VPN-Profil verliert seine VPN-Verbindung, wenn das Gerät mehrere Änderungen an VPN-Profilen für das Gerät gleichzeitig verarbeitet. Wenn das Gerät ein zweites Mal bei Intune eincheckt, verarbeitet es die VPN-Profiländerungen, und die Verbindung wird wiederhergestellt.

    Die folgenden Änderungen können zu einem Verlust der VPN-Funktionalität führen:

    • Änderungen an einem VPN-Profil, das zuvor von dem Windows 11-Gerät verarbeitet wurde. Durch diese Aktion wird das ursprüngliche Profil gelöscht und das aktualisierte Profil angewendet.
    • Zwei neue VPN-Profile gelten gleichzeitig für das Gerät.
    • Ein aktives VPN-Profil wird zur gleichen Zeit entfernt, zu der ein neues VPN-Profil zugewiesen wird.

    Dieses Problem tritt nicht in folgenden Fällen auf:

    • Einem Windows 11-Gerät ist kein vorhandenes VPN-Profil zugewiesen, und es erhält ein Intune-VPN-Profil.
    • Windows 11-Geräten mit zugewiesenem VPN-Profil und einem anderen VPN-Profil ohne weitere Profiländerungen.
    • Ein Windows 10-Gerät wird auf Windows 11 aktualisiert, und wenn keine Änderungen an den VPN-Profilen dieses Geräts vorgenommen werden. Nach dem Upgrade auf Windows 11 lösen alle Änderungen an den VPN-Profilen der Geräte oder das Hinzufügen neuer VPN-Profile das Problem aus.

    Dieses Problem und diese Warnung bleiben bestehen, bis Windows den Windows 11-Client aktualisiert, der dieses Problem behebt.

  • Windows 8.1 und höher

Angenommen, Sie möchten z. B. alle iOS-/iPadOS-Geräte mit den Einstellungen konfigurieren, die zum Herstellen einer Verbindung mit einer Dateifreigabe im Organisationsnetzwerk erforderlich sind. Erstellen Sie ein VPN-Profil, das diese Einstellungen enthält. Weisen Sie dieses Profil allen Benutzern zu, die über iOS-/iPadOS-Geräte verfügen. Die Benutzer sehen die VPN-Verbindung in der Liste der verfügbaren Netzwerke und können mit geringem Aufwand eine Verbindung herstellen.

In diesem Artikel werden die VPN-Apps aufgelistet, die Sie verwenden können. Außerdem wird gezeigt, wie Sie ein VPN-Profil erstellen und Ihre VPN-Profile schützen. Sie müssen die VPN-App bereitstellen, bevor Sie das VPN-Profil erstellen. Wenn Sie Hilfe beim Bereitstellen von Apps mit Microsoft Intune benötigen, lesen Sie Was ist App-Verwaltung in Microsoft Intune?.

Bevor Sie beginnen

  • VPN-Profile für einen Gerätetunnel werden für Windows 10/11 Enterprise-Remotedesktops mit mehreren Sitzungen unterstützt.

  • Wenn Sie die zertifikatbasierte Authentifizierung für Ihr VPN-Profil verwenden, stellen Sie das VPN-Profil, das Zertifikatprofil und das vertrauenswürdige Stammprofil für dieselben Gruppen bereit. Mit diesem Schritt wird sichergestellt, dass jedes Gerät die Rechtmäßigkeit Ihrer Zertifizierungsstelle erkennen kann. Weitere Informationen finden Sie unter Konfigurieren von Zertifikaten mit Microsoft Intune.

  • Die Benutzerregistrierung für iOS/iPadOS und macOS unterstützt nur ein Pro-App-VPN.

  • Sie können benutzerdefinierte Intune-Konfigurationsrichtlinien verwenden, um VPN-Profile für die folgenden Plattformen zu erstellen:

    • Android 4 und höher
    • Registrierte Geräte unter Windows 8.1 und höher
    • Registrierte Geräte, die Windows 10/11 ausführen
    • Windows Holographic for Business

Schritt 1: Bereitstellen Ihrer VPN-App

Bevor Sie VPN-Profile verwenden können, die einem Gerät zugewiesen sind, müssen Sie die VPN-App installieren. Diese VPN-App stellt eine Verbindung mit Ihrem VPN-Server her.

Es sind verschiedene VPN-Apps verfügbar. Auf Benutzergeräten stellen Sie die VPN-App bereit, die Ihr organization verwendet. Nachdem die VPN-App bereitgestellt wurde, erstellen Sie ein VPN-Gerätekonfigurationsprofil, das die VPN-Servereinstellungen konfiguriert, einschließlich des VPN-Servernamens (oder FQDN) und der Authentifizierungsmethode.

Einige Plattformen und VPN-Apps erfordern eine App-Konfigurationsrichtlinie, um die VPN-App vorzukonfigurieren, anstelle eines VPN-Gerätekonfigurationsprofils. In diesem Abschnitt werden auch die Plattformen und VPN-Apps aufgeführt, die eine App-Konfigurationsrichtlinie verwenden müssen.

Informationen zum Zuweisen der App mithilfe von Intune finden Sie unter Hinzufügen von Apps zu Microsoft Intune.

VPN-Verbindungstypen

Sie können VPN-Profile mit den folgenden VPN-Verbindungstypen erstellen:

  • Automatisch

    • Windows 10/11
  • Check Point Capsule VPN

    • Android-Geräteadministrator
    • Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
    • Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil: App-Konfigurationsrichtlinie verwenden
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Android-Geräteadministrator
    • Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
    • Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
    • iOS/iPadOS
    • macOS
    • Windows 10/11
  • Cisco (IPSec)

    • iOS/iPadOS
  • Citrix SSO

    • Android-Geräteadministrator
    • Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil: App-Konfigurationsrichtlinie verwenden
    • Vollständig verwaltete und unternehmenseigene Android Enterprise-Arbeitsprofile: App-Konfigurationsrichtlinie verwenden
    • iOS/iPadOS
    • Windows 10/11
  • Benutzerdefiniertes VPN

    • iOS/iPadOS
    • macOS

    Erstellen benutzerdefinierter VPN-Profile mithilfe von URI-Einstellungen finden Sie unter Erstellen eines Profils mit benutzerdefinierten Einstellungen in Intune.

  • F5 Access

    • Android-Geräteadministrator
    • Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
    • Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • Windows 10/11
  • Microsoft Tunnel

    • Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
    • Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
    • iOS/iPadOS
  • NetMotion Mobility

    • Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
    • Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks – GlobalProtect

  • PPTP

    • Windows 10/11
  • Pulse Secure

    • Android-Geräteadministrator
    • Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
    • Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWall Mobile Connect

    • Android-Geräteadministrator
    • Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
    • Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

Schritt 2: Erstellen des Profils

Nachdem die VPN-App dem Gerät zugewiesen wurde, wird im nächsten Schritt die Gerätekonfigurationsrichtlinie erstellt, die die VPN-Verbindung konfiguriert. Wenn ihr VPN-App-Verbindungstyp eine App-Konfigurationsrichtlinie zum Konfigurieren der App verwendet, überspringen Sie diesen Schritt.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen SieGerätekonfiguration>>Erstellen aus.

  3. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie die Plattform Ihrer Geräte aus. Ihre Optionen:
      • Android-Geräteadministrator
      • Android Enterprise>Vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil
      • Android Enterprise>Personally-owned work profile (Android Enterprise > Persönliches Arbeitsprofil)
      • iOS/iPadOS
      • macOS
      • Windows 10 und höher
      • Windows 8.1 und höher
    • Profiltyp: Wählen Sie VPN aus. Oder wählen Sie Vorlagen>VPN aus.
  4. Wählen Sie Erstellen aus.

  5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Ein geeigneter Profilname ist beispielsweise VPN-Profil für das gesamte Unternehmen.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
  6. Wählen Sie Weiter aus.

  7. Die verfügbaren Konfigurationseinstellungen variieren je nach ausgewählter Plattform. Wählen Sie Ihre Plattform aus, um auf die einzelnen Einstellungen zuzugreifen:

  8. Wählen Sie Weiter aus.

  9. Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie US-NC IT Team oder JohnGlenn_ITDepartment zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden der RBAC und von Bereichstags für verteilte IT.

    Wählen Sie Weiter aus.

  10. Wählen Sie unter Zuweisungen den Benutzer oder die Gruppen aus, die Ihr Profil erhalten. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wählen Sie Weiter aus.

  11. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

VPN-Profile sichern

VPN-Profile können viele verschiedene Verbindungstypen und Protokolle von unterschiedlichen Herstellern verwenden. Diese Verbindungen werden in der Regel mit den folgenden Methoden gesichert.

Zertifikate

Wenn Sie das VPN-Profil erstellen, wählen Sie ein SCEP- oder PKCS-Zertifikatprofil aus, das Sie zuvor in Intune erstellt haben. Dieses Profil wird als Identitätszertifikat bezeichnet. Es dient zur Authentifizierung anhand eines von Ihnen erstellten vertrauenswürdigen Zertifikatprofils (oder eines Stammzertifikats), das Sie erstellen, damit das Gerät des Benutzers eine Verbindung herstellen kann. Das vertrauenswürdige Zertifikat wird dem Computer zugewiesen, der die VPN-Verbindung authentifiziert, in der Regel ist dies der VPN-Server.

Wenn Sie die zertifikatbasierte Authentifizierung für Ihr VPN-Profil verwenden, stellen Sie das VPN-Profil, das Zertifikatprofil und das vertrauenswürdige Stammprofil für dieselben Gruppen bereit. Diese Zuweisung stellt sicher, dass jedes Gerät die Rechtmäßigkeit Ihrer Zertifizierungsstelle erkennt.

Weitere Informationen zum Erstellen und Verwenden von Zertifikatprofilen in Intune finden Sie unter Konfigurieren von Zertifikaten mit Microsoft Intune.

Hinweis

Mit dem Profiltyp Importierte PKCS-Zertifikat hinzugefügte Zertifikate werden für die VPN-Authentifizierung nicht unterstützt. Zertifikate, die mit dem Profiltyp PKCS-Zertifikate hinzugefügt wurden, werden für die VPN-Authentifizierung unterstützt.

Benutzername und Kennwort

Der Benutzer authentifiziert sich beim VPN-Server durch Angabe von Benutzername und Kennwort oder mit abgeleiteten Anmeldeinformationen.

Nächste Schritte